Podręcznik użytkownika narzędzia CISCO WSA Secure Network Analytics

Wstęp

Aby zbierać informacje o użytkownikach z serwerów proxy sieci dla dziennika proxy Cisco Secure Network Analytics (dawniej Stealthwatch), należy skonfigurować dzienniki serwera proxy. Moduł zbierający przepływy (Flow Collector) odbiera dzienniki, a Menedżer (dawniej Stealthwatch Management Console) wyświetla informacje na stronie rekordów proxy przepływu. Ta strona zawiera URLnazwy aplikacji i ruchu wewnątrz sieci przechodzącego przez serwer proxy.

Wymagania

Przed rozpoczęciem upewnij się, że spełniasz następujące wymagania:

• W tej konfiguracji obsługiwane są Cisco WSA (14-5-1-016), Blue Coat, McAfee i Squid. Upewnij się, że serwer proxy jest skonfigurowany i działa w ramach Twojej sieci.
• Sprawdź, czy moduł Flow Collector i serwer proxy korzystają z tego samego serwera NTP (lub pobierają czas ze wspólnego źródła, aby rekordy przepływu i serwera proxy były dopasowywane).
• Wybierz moduł zbierający przepływy, który zbiera dane z eksporterów i punktów końcowych, które chcesz zbadać w dziennikach proxy. Do konfiguracji potrzebny jest adres IP.
• Nie ma określonego limitu rozmiaru wiadomości proxy syslog. Zalecamy jednak, aby wiadomości były krótsze niż najkrótsza Maksymalna Jednostka Transmisji (MTU) na ścieżce między proxy a kolektorem przepływu, zazwyczaj 1500. Eliminuje to fragmentację pakietów i zwiększa niezawodność.
• Rejestr proxy nie jest obsługiwany w trybie wysokiej dostępności (HA).

Koniec konfiguracjiview

Wykonaj następujące procedury:

1. Wybierz jedną z następujących metod konfiguracji serwera proxy.
   • Konfigurowanie Cisco Web Dzienniki proxy urządzenia zabezpieczającego (WSA)
   • Konfigurowanie dzienników serwera proxy Blue Coat
   • Konfigurowanie dzienników serwera proxy McAfee
   • Konfigurowanie dzienników serwera proxy Squid
2. Konfigurowanie kolektora przepływu
3. Sprawdzanie przepływów

Konfigurowanie Cisco Web Dzienniki proxy urządzenia zabezpieczającego (WSA)

W tej sekcji można skonfigurować dzienniki serwera proxy Cisco, które mają być wysyłane do Secure Network Analytics.

Serwer proxy Cisco WSA nie obsługuje wirtualnych adresów IP umożliwiających dodawanie urządzeń proxy.

Aby skonfigurować dziennik serwera proxy Cisco, wykonaj następujące kroki:

1. Zaloguj się do serwera proxy Cisco.

2. W menu głównym kliknij Administracja systemem > Subskrypcje dzienników. Otworzy się strona Subskrypcje dzienników.

3. Kliknij przycisk „Dodaj subskrypcje dziennika”. Otworzy się strona „Nowe subskrypcje dziennika”.

4. Z listy rozwijanej „Typ dziennika” wybierz „Dzienniki W3C”. Zostaną wyświetlone dostępne pola dziennika W3C.

5. W polu Nazwa dziennika wpisz nazwę dziennika, którego będziesz używać.

6. Z listy dostępnych pól dziennika wybierz opcję Czasamp, a następnie kliknij Dodaj, aby przenieść je na listę Wybierz pola dziennika.

7. Powtórz poprzedni krok dla każdego z następujących pól dziennika w podanej kolejności:

a. czas najdłuższyamp
b. x-czas upłynięty
c. c-ip
d. port C
e. cs-bajty
f. s-ip
g. s-sport
h. sc-bajty
i. nazwy użytkowników cs
j. s-nazwakomputera
k. cs-url

Lista wybranych pól dziennika powinna zawierać następujące pola, jak pokazano na ilustracji:

Lista wybranych pól dziennika musi być zgodna z kolejnością podaną powyżej i nie może zawierać żadnych innych pól.

8. Przewiń na dół strony i wybierz opcję Syslog Push.

9. W polu Nazwa hosta wpisz adres IP modułu Flow Collector lub nazwę jego hosta, do którego serwer proxy wysyła dzienniki.

Upewnij się, że wybrano moduł Flow Collector zbierający dane z eksporterów i punktów końcowych, które chcesz zbadać w dziennikach serwera proxy.

10. Kliknij „Prześlij”. Nowy dziennik zostanie dodany do listy subskrypcji dziennika.

11. Przejdź do sekcji Konfigurowanie modułu Flow Collector, aby skonfigurować moduł Flow Collector do odbierania informacji z dziennika systemowego.

Konfigurowanie dzienników serwera proxy Blue Coat

W tej sekcji można skonfigurować dzienniki proxy Blue Coat, które będą wysyłane do Secure Network Analytics.

Do testów wykorzystano wersję proxy Blue Coat: SG V100, SGOS 6.5.5.7 SWG Edition.

Tworzenie formatu

Aby utworzyć nowy format dziennika, wykonaj następujące kroki:

1. W przeglądarce zaloguj się do serwera proxy Blue Coat.

2. Kliknij kartę Konfiguracja.

3. W menu głównym Konsoli zarządzania kliknij Rejestrowanie dostępu > Formaty.

4. Kliknij „Nowy” u dołu strony. Otworzy się strona „Utwórz format”.

5. W polu Nazwa formatu wpisz nazwę nowego formatu.

6. Wybierz dziennik rozszerzony W3C File Opcja formatu (ELFF).

7. W polu formatu wpisz następujący ciąg:

godzinaamp czas trwania c-ip c-port r-ip r-port s-ip s-port cs-bajty sc-bajty cs-użytkownik cs-host cs-uri

8. Kliknij OK. Przejdź do następnej sekcji: Utwórz nowy dziennik.

Utwórz nowy dziennik

Aby utworzyć dzienniki, wykonaj następujące kroki:

1. W menu głównym kliknij Rejestrowanie dostępu > Rejestry, a następnie wybierz nowy format rejestrowania. Otworzy się strona Rejestrowania.

2. Kliknij kartę Ustawienia ogólne.

3. Z listy rozwijanej Format dziennika wybierz dziennik utworzony w kroku 1.

4. W polu Opis wpisz opis nowego dziennika.

5. Kliknij przycisk „Zastosuj” u dołu strony. Przejdź do następnej sekcji: Konfigurowanie klienta przesyłania.

Skonfiguruj klienta przesyłania

Aby skonfigurować klienta przesyłania, wykonaj następujące kroki:

1. Kliknij kartę „Prześlij klienta”. Otworzy się strona „Prześlij klienta”.

2. Z listy rozwijanej Typ klienta wybierz opcję Klient niestandardowy.

3. Kliknij przycisk Ustawienia. Otworzy się strona ustawień klienta niestandardowego.

4. W odpowiednich polach wpisz adres IP modułu Flow Collector i port nasłuchiwania analizatora proxy.

Protokół SSL nie jest obecnie obsługiwany.

5. Kliknij przycisk OK.

6. Aby uzyskać parametry transmisji, wykonaj następujące kroki:

• a. W polu Certyfikat szyfrowania wybierz opcję Bez szyfrowania.
• b. Z listy rozwijanej Zestaw kluczy podpisu wybierz opcję brak podpisu.
• c. Z „Zapisz dziennik” file „jako” wybierz Tekst file opcja.
• d. W polu tekstowym „Wyślij częściowy bufor po” wpisz 5.
• e. Kliknij kartę Harmonogram przesyłania i wybierz opcję ciągłą, aby przesłać dziennik dostępu.
• f. W polu Oczekiwanie między próbami połączenia wpisz 60.
• g. W polu Czas między pakietami dziennika keep-alive wpisz 5.

7. Kliknij przycisk „Zastosuj” u dołu strony. Przejdź do następnej sekcji: Konfigurowanie harmonogramu przesyłania.

Konfigurowanie harmonogramu przesyłania

Aby skonfigurować harmonogram przesyłania, wykonaj następujące kroki:

1. Kliknij kartę Harmonogram przesyłania.

2. W przypadku opcji „Prześlij dziennik dostępu” wybierz opcję ciągłą.

3. Odczekaj 60 sekund pomiędzy poprawnymi próbami.

4. Czas pomiędzy pakietami dziennika keep-alive wynosi 5 sekund.

5. Kliknij przycisk Zastosuj znajdujący się na dole strony.

Na tym kończy się konfiguracja dzienników proxy Blue Coat dla modułu Flow Collector.

Wymagania

Dalsze uwagi dotyczące konfiguracji:

• Sprawdź, czy moduł Flow Collector i serwer proxy korzystają z tego samego serwera NTP (lub pobierają czas ze wspólnego źródła, aby rekordy przepływu i serwera proxy były dopasowywane).
• Obsługiwany jest tylko jeden mechanizm generowania logów dla serwera proxy. Jeśli już eksportujesz logi, nie możesz przechwytywać ani analizować rekordów serwera proxy.
• Wysoka dostępność UDP Director nie jest obsługiwana.

Konfigurowanie Menedżera zasad wizualnych

Konfiguracja Visual Policy Manager umożliwia sprawdzenie, czy dziennik proxy jest wysyłany do Flow Collector.

1. Na karcie Konfiguracja w menu głównym kliknij Zasady > Menedżer zasad wizualnych. Otworzy się Menedżer zasad wizualnych.

2. Kliknij przycisk „Uruchom” u dołu, aby uruchomić skonfigurowany dziennik. Otworzy się okno Menedżera zasad wizualnych dla dziennika.

3. Kliknij Zasady > Dodaj Web Warstwa dostępu. Otworzy się ekran Dodaj nową warstwę.

4. Wpisz nazwę nowej warstwy i kliknij przycisk OK.

5. Kliknij prawym przyciskiem myszy opcję Odmów w kolumnie Akcja, a następnie kliknij Ustaw. Otworzy się okno dialogowe Ustaw obiekt akcji.

6. Kliknij Nowy i wybierz Modyfikuj rejestrowanie dostępu. Otworzy się okno dialogowe Edycja obiektu rejestrowania dostępu.

7. Kliknij opcję Włącz rejestrowanie.

8. Wpisz nazwę dziennika i wybierz go.

9. Kliknij OK. Obiekt został dodany.

10. W oknie dialogowym Ustaw obiekt akcji kliknij przycisk OK.

11. Kliknij przycisk Zainstaluj zasady w prawym górnym rogu.

12. Kliknij Nie, a następnie OK w kolejnych oknach.

13. Uruchom ponownie Blue Coat Visual Policy Manager.

14. Kliknij prawym przyciskiem myszy kartę rejestrowania i wybierz opcję Włącz warstwę.

15. Kliknij przycisk „Zainstaluj zasady”. Otworzy się okno „Zainstalowane zasady”.

16. Kliknij przycisk OK.

17. Kliknij kartę Statystyki i w menu dziennika wybierz swój dziennik.

18. W menu głównym kliknij opcję Rejestrowanie dostępu, a następnie kliknij kartę Ogon dziennika. Otworzy się okno Ogon dziennika.

19. Kliknij przycisk Rozpocznij ogon u dołu strony.

20. W menu głównym Statystyki kliknij System > Rejestrowanie zdarzeń. Na tej stronie zobaczysz, czy rejestr file Plik jest przesyłany do modułu Flow Collector wraz z wprowadzonymi zmianami. Pokazuje, czy serwer proxy jest połączony z modułem Flow Collector.

21. Przejdź do sekcji Konfigurowanie modułu Flow Collector, aby skonfigurować moduł Flow Collector do odbierania informacji z dziennika systemowego.

Konfigurowanie dzienników serwera proxy McAfee

Użyj tej sekcji, aby skonfigurować dzienniki serwera proxy McAfee z poziomu McAfee Web Brama do wysyłania danych do Secure Network Analytics.

• Upewnij się, że pobrałeś konfigurację XML file Dla serwera proxy McAfee. Przejdź do Cisco Software Central, aby pobrać plik readme i konfigurację XML dziennika proxy. files.
• Zaloguj się na swoje konto Cisco Smart pod adresem https://software.cisco.com lub skontaktuj się z administratorem.
• Wersja serwera proxy McAfee użyta do testów to 7.4.2.6.0 – 18721.

Aby skonfigurować dziennik serwera proxy McAfee, wykonaj następujące czynności:

1. Pobierz plik XML file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml, a następnie zapisz go w preferowanej lokalizacji.

„Data” oznacza datę pliku XML file, a „v” oznacza wersję serwera proxy McAfee. Wybierz plik XML file z tym samym numerem wersji co serwer proxy McAfee.

Aby pobrać filewykonaj następujące czynności:

• za. Iść do https://software.cisco.com, Cisco Software Central.
• b. W sekcji Pobierz i zarządzaj > Pobieranie i aktualizacja wybierz opcję Dostęp do pobranych plików.
• c. Przewiń w dół do pola wyboru produktu.
• d. Wpisz Secure Network Analytics w polu Wybierz produkt. Naciśnij Enter.
• e. Wybierz Secure Network Analytics Virtual Flow Collector lub inny Flow Collector.
• f. Wybierz Oprogramowanie systemu Secure Network Analytics > Konfiguracja Files.

2. Zaloguj się do serwera proxy McAfee.

3. Kliknij ikonę Zasady, a następnie kliknij kartę Zestawy reguł.

4. Wybierz opcję Log Handler, a następnie wybierz opcję Default.

5. Kliknij Dodaj > Zestaw reguł w Bibliotece.

6. Kliknij Importuj z file, a następnie wybierz plik XML file.

7. Wybierz mcafeelancopelog w programie obsługi dziennika, który został właśnie zaimportowany.

Upewnij się, że zestaw reguł oraz reguła „utwórz linię dostępu” i „wyślij do syslog” są włączone.

8. Kliknij ikonę Konfiguracja znajdującą się na górze strony.

9. Po lewej stronie strony kliknij File Karta Edytor, a następnie wybierz plik rsyslog.conf file.

10. Na dole pola tekstowego (obok listy files), wpisz następujący tekst:

Upewnij się, że wybrano moduł Flow Collector zbierający dane z eksporterów i punktów końcowych, które chcesz zbadać w dziennikach serwera proxy.

11. Skomentuj ten wiersz:

*.info;mail.none;authpriv.none;cron.none.

12. Dodaj ten wiersz:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Kliknij przycisk Zapisz zmiany w prawym górnym rogu strony.

14. Przejdź do sekcji Konfigurowanie modułu Flow Collector, aby skonfigurować moduł Flow Collector do odbierania informacji z dziennika systemowego.

Konfigurowanie dzienników serwera proxy Squid

W tej sekcji skonfiguruj logi proxy Squid do wysyłania do Secure Network Analytics. Możesz edytować filena serwerze proxy za pomocą protokołu SSH.
Aby skonfigurować dzienniki serwera proxy Squid, wykonaj następujące kroki:

1. Zaloguj się do powłoki komputera, na którym działa Squid.

2. Przejdź do katalogu zawierającego plik squid.conf (zazwyczaj /etc/squid) i otwórz go w edytorze.

3. Dodaj następujące wiersze do pliku squid.conf, aby skonfigurować rejestrowanie:

format_logu format_dostępu %ts%03tu % a %>p %>st %

4. Uruchom ponownie Squid używając następującego polecenia:

• W przypadku systemów opartych na init: /etc/init.d/squid3 restart
• W przypadku systemów opartych na systemd: systemctl restart squid

5. Skonfiguruj usługę syslog na serwerze Squid, aby przekierowywała logi do Flow Collector. Zależy to od dystrybucji Linuksa/usługi syslog.

W przypadku syslog-ng należy dodać następujący kod do pliku /etc/syslog-ng/syslog-ng.conf:

# Narzędzie dziennika audytu POCZĄTEK filtr bs_filter { filtr(f_user) i poziom(informacje) }; cel udp_proxy { udp("10.205.14.15" port(514)); }; log { źródło(s_all); filtr(bs_filter); cel(udp_proxy); }; # Narzędzie dziennika audytu END

W przypadku rsyslog należy dodać następujący kod do pliku /etc/rsyslog.conf:

:programname, zawiera, „squid” @10.205.14.15:514

Upewnij się, że wybrano moduł Flow Collector zbierający dane z eksporterów i punktów końcowych, które chcesz zbadać w dziennikach serwera proxy.

6. Następnie uruchom ponownie usługę syslog.

• W przypadku systemów opartych na init:
  /etc/init.d/syslog-ng restart (dla syslog-ng)
  /etc/init.d/rsyslog restart (dla rsyslog)
• W przypadku systemów bazujących na systemd:
  systemctl restart syslog (dla syslog-ng)
  systemctl restart rsyslog (dla rsyslog)

7. Przejdź do sekcji Konfigurowanie modułu Flow Collector, aby otrzymać informacje z dziennika systemowego.

Konfigurowanie kolektora przepływu

Po skonfigurowaniu serwera proxy należy skonfigurować Flow Collector w celu akceptowania danych.

Aby skonfigurować Flow Collector do odbioru informacji syslog, wykonaj następujące kroki:

1. Zaloguj się do swojego Menedżera.

2. Wybierz Konfiguruj > Globalne > Zarządzanie centralne.

3. Kliknij ikonę (wielokropka) swojego modułu Flow Collector, a następnie kliknij View Statystyki urządzeń.

4. Zaloguj się do Flow Collector. Otworzy się interfejs Flow Collector.

5. Kliknij Konfiguracja > Przetwarzanie proxy. Otworzy się strona Serwery proxy.

6. Wpisz adres IP serwera proxy.

7. Z listy rozwijanej Typ serwera proxy wybierz swój serwer proxy.

Jeśli typ Twojego serwera proxy nie znajduje się na liście, nie będziesz mógł obecnie korzystać z dzienników proxy.

8. Jeśli serwer proxy:

• Jeśli ma tylko jeden adres IP, wpisz adres IP serwera proxy w polu Adres IP. Pole Adres IP telemetrii pozostaw puste.
• Jeśli ma więcej adresów IP, wpisz adres IP serwera proxy do zarządzania (adres IP źródłowy komunikatu syslog) w polu Adres IP. W polu Adres IP telemetrii wpisz adres IP serwera proxy do telemetrii.

9. W polu Port usługi proxy wpisz numer portu serwera proxy.

10. Jeśli chcesz, aby serwer proxy wyzwalał alarmy, odznacz pole wyboru Wyklucz z alarmowania.

11. Kliknij Dodaj.

12. Kliknij Zastosuj. Serwer proxy pojawi się w tabeli „Proxy Ingest” u góry strony.

13. Przejdź do sekcji Sprawdzanie przepływów.

Sprawdzanie przepływów

Aby sprawdzić, czy otrzymujesz przepływy, wykonaj następujące kroki:

1. W interfejsie Flow Collector kliknij opcję Pomoc > Przeglądaj Files w menu głównym. Przeglądaj Fileotwiera się strona.

2. Otwórz sw.log file.

3. Sprawdź, czy webserwer proxy zlicza w górę, aby pokazać, że odbierasz dane.

Kontakt z pomocą techniczną

Jeśli potrzebujesz pomocy technicznej, wykonaj jedną z następujących czynności:

• Skontaktuj się z lokalnym partnerem Cisco
• Skontaktuj się z pomocą techniczną Cisco
• Aby otworzyć sprawę przez web: http://www.cisco.com/c/en/us/support/index.html
• Aby uzyskać pomoc telefoniczną: 1-800-553-2447 (NAS)
• Aby uzyskać numery pomocy technicznej na całym świecie:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Historia zmian

Informacje o prawach autorskich

Cisco i logo Cisco są znakami towarowymi lub zarejestrowanymi znakami towarowymi Cisco i/lub jej podmiotów stowarzyszonych w Stanach Zjednoczonych i innych krajach. view lista znaków towarowych Cisco, przejdź tutaj URL: https://www.cisco.com/go/trademarks. Wymienione znaki towarowe stron trzecich są własnością ich właścicieli. Użycie słowa partner nie oznacza relacji partnerskiej między Cisco a jakąkolwiek inną firmą. (1721R)

© 2025 Cisco Systems, Inc. i/lub podmioty stowarzyszone.
Wszelkie prawa zastrzeżone.

Dokumenty / Zasoby

Analiza bezpiecznej sieci CISCO WSA [plik PDF] Instrukcja użytkownika WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Secure Network Analytics, WSA, Secure Network Analytics, Analiza sieci, Analityka

Odniesienia

• Instrukcja obsługi